網(wǎng)管徹底改變VoIP滲透威脅的三步曲

黑客通過VoIP滲透來竊取、私用企業(yè)的VoIP電話,造成了VoIP的不安全性。開放性的架構(gòu)所帶來的靈活性讓VoIP能夠滲透到企業(yè)的整個管理流程中去,提高通信效能,提高生產(chǎn)效率,這是IP技術(shù)的核心優(yōu)勢所在。所有影響數(shù)據(jù)網(wǎng)絡(luò)的攻擊都可能會影響到VoIP網(wǎng)絡(luò),如病毒、垃圾郵件、非法侵入、DoS、劫持電話、偷聽、數(shù)據(jù)嗅探等。

前段時間,圣地亞哥黑客會議局的兩個安全專家通過Cisco VoIPdia進入了他們所在酒店的內(nèi)部公共網(wǎng)絡(luò)系統(tǒng)。兩名黑客說,他們通過Wired.com網(wǎng)站的一篇博客進入到了這家酒店的財務(wù)系統(tǒng)和內(nèi)部公共網(wǎng)絡(luò)系統(tǒng),并且獲取下了酒店內(nèi)部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式,VoIP Hopper將模擬Cisco數(shù)據(jù)包,每三分鐘發(fā)送一次信息,然后轉(zhuǎn)換成為新的以太網(wǎng)界面,通過博客地址,用計算機代替酒店的電話系統(tǒng)切入到網(wǎng)絡(luò)中去,以此來運轉(zhuǎn)VoIP?梢奦oIP是件危險的事情,從某種角度講對網(wǎng)絡(luò)產(chǎn)生了一定的安全威脅。

VoIP滲透現(xiàn)狀

VoIP在IP網(wǎng)絡(luò)上運行。意味著,它與WEB和電子郵件等其它IP應用一樣,有著同樣的威脅和漏洞等安全問題。這些威脅和漏洞包括所有IP網(wǎng)絡(luò)層面的威脅。每天很疲憊地應對這些威脅;以及人們使用標準的網(wǎng)絡(luò)安全技術(shù)和良好的網(wǎng)絡(luò)設(shè)計來應對未知威脅。網(wǎng)絡(luò)的安全性根本技術(shù)問題(技術(shù)問題遲早會通過技術(shù)解決),但我們并沒有因為經(jīng)常存在黑客、病毒的侵襲而不發(fā)展網(wǎng)絡(luò),同理,我們也不能因為有了安全性問題而不發(fā)展網(wǎng)絡(luò)電話,否則就是本末倒置、因噎廢食的愚蠢做法;最后,對網(wǎng)絡(luò)電話安全問題考慮得比較多的是大型企業(yè),因為這些企業(yè)擔心機密外泄而拒絕使用網(wǎng)絡(luò)電話。

與VoIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多,常見的有控制實時數(shù)據(jù)流應用在IP網(wǎng)絡(luò)傳輸?shù)膶崟r傳輸協(xié)議和實時傳輸控制協(xié)議;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的資源預留協(xié)議和IP different Service等,還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711、G.728、G.723、G.729等等。但目前VoIP技術(shù)最常用的話音建立和控制信令是H.323和會話初始協(xié)議(STP)。SIP協(xié)議是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。同時,由于SIP只負責提供會話連接和會話管理,而與應用無關(guān),因此SIP可以被用于多個領(lǐng)域。即使是協(xié)議本身也有潛在的安全問題:H.323和SIP總體上都是一套開放的協(xié)議體系。

在一系列的通話過程方面,各設(shè)備廠家都有獨立的組件來承載。越是開放的操作系統(tǒng),其產(chǎn)品應用過程就越容易受到病毒和惡意攻擊的影響。而這些應用都是在產(chǎn)品出廠時就已經(jīng)安裝在設(shè)備當中的,無法保證是最新版本或是承諾已經(jīng)彌補了某些安全漏洞。同時,最為一種新興發(fā)展技術(shù)的傳輸協(xié)議,SIP并不完善,它采用類似于FTP、電子郵件或者HTTP服務(wù)器的形式來發(fā)起用戶之間的連接。利用這種連接技術(shù),黑客們同樣會對VOIP進行攻擊。如果網(wǎng)關(guān)被黑客攻破,IP電話不用經(jīng)過認證就可隨意撥打,未經(jīng)保護的語音通話有可能遭到攔截和竊聽,而且可以被隨時截斷。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址,為自己打開秘密通道和后門。黑客們可以騙過SIP和IP地址的限制而竊取到整個談話過程。

如果VoIP的基礎(chǔ)設(shè)施不能得到有效保護,它就能夠被輕易地攻擊,存儲的談話內(nèi)容就會被竊聽。與傳統(tǒng)的電話設(shè)備相比,用于傳輸VoIP的網(wǎng)絡(luò)——路由器、服務(wù)器,甚至是交換機,都更容易受到攻擊。而傳統(tǒng)電話使用的PBX,它是穩(wěn)定和安全的。應該從以下三個方面著手:

第一部曲:限制所有的VoIP數(shù)據(jù)只能傳輸?shù)揭粋VLAN上,確保網(wǎng)關(guān)的安全

對語音和數(shù)據(jù)分別劃分VLAN,這樣有助于按照優(yōu)先次序來處理語音和數(shù)據(jù)。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子,它不允許任何其它計算機訪問其設(shè)備,從而也就避免了電腦的攻擊,VoIP網(wǎng)絡(luò)也就相當安全;即使受到攻擊,也會將損失降到最低。要配置網(wǎng)關(guān),使那些只有經(jīng)過允許的用戶才可以打出或接收VoIP電話,列示那些經(jīng)過鑒別和核準的用戶,這可以確保其它人不能占線打免費電話。通過SPI防火墻、應用層網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換工具、SIP對VoIP軟客戶端的支持等的組合,來保護網(wǎng)關(guān)和位于其后的局域網(wǎng)。

來源:瑞星反病毒資訊網(wǎng)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應用典型場景技術(shù)解決方案白皮書
  • 2、回復“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息